近日，國內(nèi)科技學(xué)術(shù)期刊《工業(yè)信息安全》雜志刊發(fā)了優(yōu)秀論文《基于“零信任“的工控系統(tǒng)安全關(guān)鍵技術(shù)探討》。論文全面闡述了工控安全領(lǐng)域的“零信任”關(guān)鍵技術(shù)，為“零信任”工控安全領(lǐng)域的實(shí)施提供參考。

以下為論文內(nèi)容 ：

摘要

工控系統(tǒng)廣泛應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施，如電力、能源、交通、智能制造等涉及國計(jì)民生的關(guān)鍵領(lǐng)域，一旦工控系統(tǒng)受到惡意入侵或攻擊，將造成嚴(yán)重后果，嚴(yán)重威脅國家安全。因此近年來工控系統(tǒng)安全問題越來越受到相關(guān)主管部門和企業(yè)的重視，關(guān)于工控安全的技術(shù)研究也越來越廣泛深入。本文基于在IT安全領(lǐng)域已經(jīng)得到驗(yàn)證和應(yīng)用的“持續(xù)驗(yàn)證，永不信任”的零信任安全理念，從工控安全系統(tǒng)集中管理、用戶身份認(rèn)證、工控資產(chǎn)接入控制、終端安全防護(hù)技術(shù)、工控指令訪問控制、工控行為訪問控制、USB外設(shè)接入控制、工控安全態(tài)勢分析等維度，全面闡述了工控安全領(lǐng)域的“零信任”關(guān)鍵技術(shù)，為“零信任”理念在工控安全領(lǐng)域的實(shí)施提供參考。

關(guān)鍵詞

零信任;工控系統(tǒng)安全;關(guān)鍵信息基礎(chǔ)設(shè)施

前言

2010年，著名研究機(jī)構(gòu)Forrester首席分析師約翰·金德瓦格(John Kindervag)首次提出了零信任安全的概念[1]，即所有的網(wǎng)絡(luò)流量和網(wǎng)絡(luò)訪問都是不可信的，對任何的訪問請求都需要進(jìn)行安全驗(yàn)證和授權(quán)?！傲阈湃巍备拍畹奶岢?，是對傳統(tǒng)的以安全域劃分、安全域隔離為基礎(chǔ)的網(wǎng)絡(luò)安全防御理念的顛覆[2]。在傳統(tǒng)的網(wǎng)絡(luò)安全防御方案中，通常會把網(wǎng)絡(luò)劃分為不同的安全域，例如外網(wǎng)和內(nèi)網(wǎng)，并在不同的安全域之間部署網(wǎng)絡(luò)安全防護(hù)設(shè)備(例如，防火墻)實(shí)施安全域隔離。采用上述網(wǎng)絡(luò)安全防御措施后，一般就會認(rèn)為內(nèi)網(wǎng)的流量和用戶訪問都是安全的，外網(wǎng)的流量或用戶如果需要訪問內(nèi)網(wǎng)資源，則需要進(jìn)行安全驗(yàn)證和訪問控制。零信任則認(rèn)為對網(wǎng)絡(luò)資源的訪問始終是“不可信的”，不默認(rèn)任何訪問是安全的，從而不對任何訪問進(jìn)行隱私授權(quán)，而是需要持續(xù)驗(yàn)證網(wǎng)絡(luò)訪問的安全性。

工控網(wǎng)絡(luò)根據(jù)部署的位置和功能劃分，通常劃分為辦公網(wǎng)和生產(chǎn)網(wǎng)兩個(gè)不同的安全管理域，辦公網(wǎng)和生產(chǎn)網(wǎng)之間通常會安裝有工業(yè)防火墻設(shè)備，進(jìn)行網(wǎng)絡(luò)安全隔離。其中生產(chǎn)網(wǎng)相對封閉，其網(wǎng)絡(luò)訪問流量主要是以工控網(wǎng)絡(luò)流量為主，是屬于傳統(tǒng)的“可信任”網(wǎng)絡(luò)。但是隨著現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型和兩化融合的推進(jìn)，工業(yè)控制網(wǎng)絡(luò)也正在向網(wǎng)絡(luò)化、智能化和數(shù)字化方向發(fā)展，傳統(tǒng)工控網(wǎng)絡(luò)的生產(chǎn)網(wǎng)和辦公網(wǎng)之間的邊界也逐漸模糊，再加上生產(chǎn)網(wǎng)絡(luò)中一些人為操作引入的不安全因素，生產(chǎn)網(wǎng)遭受外來攻擊的風(fēng)險(xiǎn)日益加大，生產(chǎn)網(wǎng)絡(luò)中資源訪問的“可信任”性逐漸減弱。因此，傳統(tǒng)的基于生產(chǎn)網(wǎng)和辦公網(wǎng)隔離的安全的理念和策略也應(yīng)該逐漸被“零信任”的安全理念所取代。本文基于“零信任”的核心理念，從用戶認(rèn)證、集中安全管理、資產(chǎn)接入認(rèn)證、終端安全防護(hù)、工控流量審查、USB存儲設(shè)備使用管控、工控網(wǎng)絡(luò)安全態(tài)勢分析等角度探討工控網(wǎng)絡(luò)中實(shí)施“零信任”的關(guān)鍵技術(shù)點(diǎn)。

01、零信任工控網(wǎng)絡(luò)安全架構(gòu)

零信任的網(wǎng)絡(luò)架構(gòu)是一種端到端的網(wǎng)絡(luò)安全框架和機(jī)制[3]，其核心是對訪問主體進(jìn)行身份識別和認(rèn)證。對于工控網(wǎng)絡(luò)而言，用戶的身份、工控設(shè)備、工控網(wǎng)絡(luò)流量、外部設(shè)備等的安全性，是影響工控網(wǎng)絡(luò)安全的關(guān)鍵因素。因此構(gòu)建以身份識別為核心，包含用戶身份識別和認(rèn)證、網(wǎng)絡(luò)設(shè)備接入控制、網(wǎng)絡(luò)行為安全檢測、用戶操作安全保障等核心功能的網(wǎng)絡(luò)安全體系，是基于零信任的工控網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)和部署的關(guān)鍵。

圖 1 基于零信任的工控網(wǎng)絡(luò)安全架構(gòu)

如圖 1所示，基于零信任的工控網(wǎng)絡(luò)安全架構(gòu)中，通過集中管理平臺實(shí)現(xiàn)控制平面和數(shù)據(jù)平面分離，控制平面主要由工控安全集中管理平臺實(shí)現(xiàn)統(tǒng)一安全策略管理、安全狀態(tài)監(jiān)測。數(shù)據(jù)平面主要實(shí)現(xiàn)工控安全控制能力，包括工控流量檢測控制、工業(yè)終端的安全防護(hù)、外部設(shè)備設(shè)訪問控制三大類。工控資產(chǎn)識別認(rèn)證和用戶身份認(rèn)證構(gòu)成了“零信任”工控安全網(wǎng)絡(luò)的基礎(chǔ)。安全分析平臺主要是對工控網(wǎng)絡(luò)安全狀態(tài)、趨勢等進(jìn)行綜合分析，分析結(jié)果可以作為工控安全集中管理平臺進(jìn)行安全管理的依據(jù)。

基于零信任的工控網(wǎng)絡(luò)安全架構(gòu)中，關(guān)鍵技術(shù)包括工控安全集中管理、用戶身份認(rèn)證、資產(chǎn)接入控制、終端安全防護(hù)、工控網(wǎng)絡(luò)流量檢測和控制、USB存儲等外設(shè)接入控制、工控網(wǎng)絡(luò)安全態(tài)勢分析等。

02、集中安全管理

工業(yè)企業(yè)的生產(chǎn)系統(tǒng)大多分布式部署，表現(xiàn)為異地分布的生產(chǎn)工廠、生產(chǎn)車間等形式。對這些分布式部署的工業(yè)生產(chǎn)設(shè)備進(jìn)行安全防護(hù)，需要進(jìn)行統(tǒng)一的安全管理規(guī)劃，制定統(tǒng)一的安全防護(hù)策略，同時(shí)在某一個(gè)區(qū)域的設(shè)備遭受攻擊時(shí)，能夠及時(shí)上報(bào)到集中安全管理中心，便于對其他未遭受攻擊的區(qū)域提前實(shí)施更高級別的安全防護(hù)，避免攻擊范圍擴(kuò)大，減少由此造成的損失。

集中安全管理功能主要實(shí)現(xiàn)系統(tǒng)安全策略的統(tǒng)一配置管理、安全事件的統(tǒng)一處理。從技術(shù)實(shí)現(xiàn)上，首先要求基于零信任的工控安全系統(tǒng)采用管理面和業(yè)務(wù)面分離的網(wǎng)絡(luò)架構(gòu)，提供單獨(dú)的安全配置管理通信通路，保障在業(yè)務(wù)系統(tǒng)異常時(shí)，管理策略能夠正常下達(dá)，業(yè)務(wù)安全告警信息能夠正常上報(bào)。其次，對于能夠登錄集中安全管理系統(tǒng)，進(jìn)行系統(tǒng)安全策略配置的管理員權(quán)限要進(jìn)行嚴(yán)格的身份認(rèn)證，可采用用戶名+密碼、指紋認(rèn)證的雙因子認(rèn)證方案，防止用戶仿冒。最后，集中安全管理系統(tǒng)要采集并分析各個(gè)分布式區(qū)域上報(bào)的安全事件，對工控系統(tǒng)整體的安全形勢進(jìn)行綜合研判，形成安全態(tài)勢報(bào)告，及時(shí)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)并預(yù)警，為制定和完善精細(xì)化的安全策略提供依據(jù)。

03、用戶身份認(rèn)證

“零信任”理念強(qiáng)調(diào)要進(jìn)行強(qiáng)身份驗(yàn)證，要求對工業(yè)控制系統(tǒng)中所有用戶進(jìn)行強(qiáng)身份驗(yàn)證，確保只有經(jīng)過授權(quán)的用戶可以獲得訪問權(quán)限。在工控網(wǎng)絡(luò)中，用戶身份認(rèn)證技術(shù)可以應(yīng)用在多個(gè)系統(tǒng)上，尤其是工控管理終端設(shè)備上，例如工程師站、SCADA等。

最常見的用戶身份認(rèn)證技術(shù)為“用戶名+密碼+驗(yàn)證碼”;安全性更高的身份認(rèn)證技術(shù)為“用戶名+密碼+Ukey”，這兩種認(rèn)證技術(shù)能夠解決系統(tǒng)“用戶”訪問合法性問題，但是解決不了系統(tǒng)“用戶”與真“人”不一致的問題。在工業(yè)場景下，安全生產(chǎn)需要責(zé)任到具體真實(shí)的“人”，而不僅僅是真實(shí)的“用戶”，所以需要采用更加嚴(yán)格的認(rèn)證技術(shù)，做到“用戶”和“人”合一。可以采用人的生物信息認(rèn)證+系統(tǒng)用戶認(rèn)證技術(shù)，在用戶登錄系統(tǒng)時(shí)，除了要通過用戶名、密碼外，還要通過生物信息采集設(shè)備(例如指紋采集器)，進(jìn)行生物信息比對。只有用戶名、密碼認(rèn)證正確，同時(shí)用戶名對應(yīng)的生物信息正確，才能驗(yàn)證通過，生成用戶訪問授權(quán)信息[4]。在系統(tǒng)用戶試圖訪問系統(tǒng)資源時(shí)，必須保證有用戶訪問授權(quán)信息，才允許訪問，這樣不僅解決了現(xiàn)實(shí)世界的“人”的仿冒，也解決了網(wǎng)絡(luò)用戶的仿冒。

04、工控資產(chǎn)接入控制

工控資產(chǎn)是工業(yè)生產(chǎn)必需的設(shè)備，也是各類網(wǎng)絡(luò)攻擊的重點(diǎn)攻擊目標(biāo)。一方面某些工業(yè)資產(chǎn)本身存在的漏洞，容易被黑客利用，實(shí)施網(wǎng)絡(luò)攻擊;另一方面，一些黑客設(shè)備可能會通過遠(yuǎn)程方式接入工控網(wǎng)絡(luò)，竊取工控網(wǎng)絡(luò)數(shù)據(jù)或?qū)嵤┚W(wǎng)絡(luò)攻擊。因此需要對所有接入工控系統(tǒng)的設(shè)備進(jìn)行識別、認(rèn)證管理，建立工控系統(tǒng)資產(chǎn)信息庫，禁止未經(jīng)過認(rèn)證的資產(chǎn)設(shè)備對工控系統(tǒng)中的資源進(jìn)行任何操作，防止非法設(shè)備對工控資源的異常訪問。

工控資產(chǎn)識別，是對所有接入工控網(wǎng)絡(luò)的工業(yè)設(shè)備識別出設(shè)備類型、設(shè)備型號、生產(chǎn)廠家、MAC地址等工控資產(chǎn)身份信息。工控資產(chǎn)識別技術(shù)包括被動式識別技術(shù)和主動式識別技術(shù)兩類。被動式資產(chǎn)識別，是指從和待識別資產(chǎn)進(jìn)行數(shù)據(jù)交互的網(wǎng)絡(luò)報(bào)文中，提取五元組及其它報(bào)文特征信息，根據(jù)報(bào)文特征分析出和待識別的資產(chǎn)進(jìn)行交互的網(wǎng)絡(luò)和工控協(xié)議，從而判斷設(shè)備類型;還可以從網(wǎng)絡(luò)報(bào)文中提取一些關(guān)鍵特征字段，根據(jù)關(guān)鍵特征字段，可以進(jìn)一步確認(rèn)設(shè)備類型和廠商等設(shè)備身份信息。主動式資產(chǎn)識別，是指通過向待識別設(shè)備主動發(fā)送某些特定測試指令或測試報(bào)文，從待識別設(shè)備的響應(yīng)信息中獲取設(shè)備型號、生產(chǎn)廠商等設(shè)備身份信息。資產(chǎn)管理系統(tǒng)可以內(nèi)置工控資產(chǎn)指紋庫，在資產(chǎn)識別過程中，通過把獲取的設(shè)備特征信息和工控資產(chǎn)指紋庫中的信息進(jìn)行對比，可以更精準(zhǔn)地識別資產(chǎn)。和對安全性要求較高的傳統(tǒng)的IT網(wǎng)絡(luò)相比，工控網(wǎng)絡(luò)(也稱“OT網(wǎng)絡(luò)”)更強(qiáng)調(diào)“高可用性”，要求網(wǎng)絡(luò)安全措施的實(shí)施不能影響正常的生產(chǎn)活動。因此，在實(shí)踐中，對于工控資產(chǎn)的識別主要是采用被動式識別技術(shù)，以減少對生產(chǎn)活動產(chǎn)生的影響，同時(shí)輔以主動識別模式，提升資產(chǎn)識別準(zhǔn)確率。

識別出工控網(wǎng)絡(luò)中的設(shè)備資產(chǎn)后，經(jīng)過注冊、認(rèn)證后形成有網(wǎng)絡(luò)訪問權(quán)限的工控資產(chǎn)列表，在工控資產(chǎn)列表中的設(shè)備可以訪問工控網(wǎng)絡(luò)資源。不在工控資產(chǎn)列表中的未知設(shè)備要接入工控網(wǎng)絡(luò)時(shí)，需要經(jīng)過注冊、認(rèn)證，在系統(tǒng)確認(rèn)該設(shè)備的合法性后，方可接入系統(tǒng)，并且該認(rèn)證是一次性認(rèn)證，設(shè)備再次接入系統(tǒng)需要重新驗(yàn)證。沒有通過注冊驗(yàn)證的設(shè)備，不能對工控系統(tǒng)做任何操作。已經(jīng)注冊過的設(shè)備，長時(shí)間下線后，再次上線，也需要重新進(jìn)行注冊、驗(yàn)證。通過上述工控資產(chǎn)的接入控制，可以防止資產(chǎn)非法接入和訪問系統(tǒng)資源。

05、終端安全防護(hù)

在工控網(wǎng)絡(luò)中，存在大量的應(yīng)用客戶端、工程師站、SCADA設(shè)備等終端設(shè)備。一方面，這些設(shè)備會直接向工業(yè)生產(chǎn)設(shè)備下發(fā)生產(chǎn)指令，如果這些設(shè)備被攻擊或者感染病毒，將會帶來災(zāi)難性的后果;另一方面，這是設(shè)備是工業(yè)生產(chǎn)操作人員執(zhí)行各類生產(chǎn)指令的入口，未經(jīng)授權(quán)的人工操作，可能會對工業(yè)生產(chǎn)過程造成破壞。因此需要加強(qiáng)對這些設(shè)備的安全防護(hù)。

為了保障工控終端安全，需要在工控終端上安裝安全防護(hù)程序，為了減少對工業(yè)生產(chǎn)活動的影響，工控終端安全防護(hù)需要采用“白名單”技術(shù)，把工控終端上需要重點(diǎn)保護(hù)的應(yīng)用程序、腳本、數(shù)據(jù)文件等加入白名單中進(jìn)行重點(diǎn)保護(hù)，只有特定的主體才能訪問和操作這些重點(diǎn)保護(hù)的對象，防止應(yīng)用程序、腳本、文件或數(shù)據(jù)等被異常執(zhí)行或篡改?！鞍酌麊巍奔夹g(shù)原理是提取一個(gè)工控終端設(shè)備正常運(yùn)行時(shí)所需要的所有應(yīng)用程序、腳本、數(shù)據(jù)文件等原始文件，基于這些原始文件內(nèi)容，采用MD5信息摘要算法，產(chǎn)生出一個(gè)128位(16字節(jié))的散列值，即MD5值，以MD5值作為文件特征，形成“白名單”文件庫。通過對“白名單”文件庫中的文件讀寫進(jìn)行控制，可以防御最常見的勒索病毒攻擊，避免工業(yè)企業(yè)遭受經(jīng)濟(jì)損失。

終端安全防護(hù)程序自身需要具備強(qiáng)大的用戶訪問認(rèn)證能力，可采用雙因子認(rèn)證登錄認(rèn)證，即同時(shí)采用用戶名+密碼和生物信息認(rèn)證的門禁式登錄認(rèn)證方案，防止用戶信息盜用或用戶仿冒，保證安全責(zé)任到人，減少人為因素導(dǎo)致的安全隱患。

06、基于工控指令的訪問控制

基于工控指令的訪問控制是指通過對工控流量報(bào)文進(jìn)行深度分析和識別，建立工業(yè)指令級別的訪問控制策略，從而識別和過濾異常攻擊指令對工業(yè)生產(chǎn)過程的破壞?；诠た刂噶畹脑L問控制技術(shù)包括工控協(xié)議訪問控制、工業(yè)指令訪問控制和工控指令操作數(shù)訪問控制三個(gè)由粗到細(xì)的訪問控制技術(shù)。

在傳統(tǒng)的IT網(wǎng)絡(luò)中，采用深度報(bào)文檢測技術(shù)(DPI)識別IT網(wǎng)絡(luò)中的各類互聯(lián)網(wǎng)應(yīng)用。在工控網(wǎng)絡(luò)中，也可以采用深度報(bào)文檢測技術(shù)識別工控網(wǎng)絡(luò)中的工控協(xié)議，通過制定各類基于工控協(xié)議的訪問控制策略對異常攻擊流量進(jìn)行過濾。但是，在工控網(wǎng)絡(luò)中，對工業(yè)生產(chǎn)造成嚴(yán)重危害的除異常工控協(xié)議流量外，更多的是正常工控協(xié)議流量中攜帶的異?？刂浦噶詈涂刂茀?shù)。因此，在識別工控網(wǎng)絡(luò)流量的工控協(xié)議后，還需要進(jìn)一步識別出工控網(wǎng)絡(luò)流量報(bào)文中攜帶的工控指令和控制參數(shù)。例如，識別出工控流量是Modbus工控協(xié)議流量后，還需要識別出每條Modbus報(bào)文中的功能碼(例如，讀取線圈狀態(tài)、讀取保持寄存器、預(yù)置單寄存器、預(yù)置多寄存器等)以及該功能碼對應(yīng)的操作數(shù)值。基于以上工控協(xié)議識別技術(shù)和識別能力，制定基于工控指令級別的訪問控制策略對異常指令進(jìn)行過濾，可以防止對工控設(shè)備的非法操作;在此基礎(chǔ)上還可以針對每個(gè)正常工控指令對應(yīng)的操作數(shù)值定義控制策略，對超過正常操作值范圍的數(shù)據(jù)報(bào)文進(jìn)行過濾，可以防止對工控設(shè)備的異?？刂?。

07、基于工控行為特征的訪問控制

基于工控行為特征的訪問控制是通過學(xué)習(xí)工業(yè)生產(chǎn)過程的周期性規(guī)律，固化一套正常的工控行為規(guī)則，以正常行為規(guī)則為模板，過濾超出正常行為規(guī)則以外的異常行為，防止對工控設(shè)備的異常訪問。

在傳統(tǒng)的IT網(wǎng)絡(luò)中，網(wǎng)絡(luò)流量反映的是人對網(wǎng)絡(luò)資源訪問的行為特征，而人的行為具有一定的隨機(jī)性，所以難以通過網(wǎng)絡(luò)流量特征判斷人的行為是否異常。和IT網(wǎng)絡(luò)流量不同，在工控網(wǎng)絡(luò)中，控制工業(yè)生產(chǎn)的工控指令一般是由PLC控制器自動發(fā)送的，由于工業(yè)生產(chǎn)過程具有一定的周期性且任何兩個(gè)周期內(nèi)的所有的操作應(yīng)該嚴(yán)格一致，所以這些工控指令也具有一定的周期性規(guī)律。工控行為學(xué)習(xí)技術(shù)通過連續(xù)采集多個(gè)某個(gè)特定的工業(yè)生產(chǎn)周期中的所有工控報(bào)文，采用DPI深度報(bào)文識別技術(shù)識別出工控協(xié)議，基于工控協(xié)議進(jìn)一步識別出工控網(wǎng)絡(luò)流量報(bào)文中攜帶的工控指令和控制參數(shù)，對多次采集的數(shù)據(jù)進(jìn)行比對分析，找出工控指令下發(fā)的時(shí)間順序、時(shí)間間隔、工控協(xié)議、控制指令和控制參數(shù)等的出現(xiàn)規(guī)律，從而掌握一個(gè)正常的生產(chǎn)周期中所包含的所有報(bào)文及其特征，形成一條基于工控報(bào)文特征工控行為規(guī)則[5]，對不同生產(chǎn)過程重復(fù)上述分析過程，最終形成一個(gè)完整的工控行為特征規(guī)則庫。學(xué)習(xí)過程結(jié)束后，對后續(xù)生產(chǎn)過程中所有的工控報(bào)文特征都和工控行為規(guī)則中的規(guī)則進(jìn)行比對，如果有不一致報(bào)文，立即進(jìn)行告警或阻斷報(bào)文訪問工控設(shè)備，防止對工控設(shè)備的異常網(wǎng)絡(luò)訪問。

08、USB存儲設(shè)備接入控制

使用USB移動存儲設(shè)備進(jìn)行文件的拷貝、轉(zhuǎn)移是工業(yè)生產(chǎn)中最常見的場景之一，而由于安全意識薄弱等原因，使用USB存儲設(shè)備帶來的安全風(fēng)險(xiǎn)往往容易被忽視，2010年，著名的“震網(wǎng)”病毒就是通過U盤傳播的。因此在工控網(wǎng)絡(luò)中對USB存儲設(shè)備的使用需要進(jìn)行認(rèn)證、授權(quán)，防止USB存儲設(shè)備濫用引入的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

USB存儲設(shè)備接入管理需要通過專用的USB設(shè)備管理系統(tǒng)來實(shí)現(xiàn)，其目的是對未知的USB設(shè)備進(jìn)行隔離，避免未知設(shè)備直接接入工控網(wǎng)絡(luò)中。USB設(shè)備管理系統(tǒng)的功能包括USB存儲設(shè)備識別、病毒查殺、設(shè)備授權(quán)、設(shè)備安全使用四個(gè)基本功能。首先，USB設(shè)備管理系統(tǒng)對接入工控系統(tǒng)的每一個(gè)USB設(shè)備識別，內(nèi)容包括USB設(shè)備類型、廠商、序列號、USB存儲設(shè)備容量、設(shè)備是否認(rèn)證授權(quán)等基本信息。設(shè)備識別為USB存儲設(shè)備后，需要對設(shè)備進(jìn)行病毒查殺，隔離或刪除病毒文件。已經(jīng)經(jīng)過病毒查殺的USB存儲設(shè)備，依然不能被工控系統(tǒng)直接使用，只有經(jīng)過系統(tǒng)管理員授權(quán)確認(rèn)后，才能接入工控系統(tǒng)使用。已經(jīng)獲得授權(quán)的USB存儲設(shè)備，對其中的文件訪問采用最小權(quán)限原則進(jìn)行訪問權(quán)限控制，可以對指定文件類型定義讀寫操作權(quán)限，防止異常的文件越權(quán)訪問?；凇坝啦恍湃巍痹瓌t，已經(jīng)授權(quán)的USB存儲設(shè)備下線后，再次插入系統(tǒng)，仍然需要進(jìn)行病毒查殺，保證USB存儲設(shè)備安全可用。

09、工控網(wǎng)絡(luò)安全態(tài)勢分析

工控安全態(tài)勢分析通過實(shí)時(shí)采集工控安全網(wǎng)絡(luò)中各個(gè)安全設(shè)備產(chǎn)生的日志、告警數(shù)據(jù)以及各類網(wǎng)絡(luò)威脅情報(bào)信息，識別出系統(tǒng)中的安全威脅情況，同時(shí)，通過對海量安全數(shù)據(jù)的深度挖掘和機(jī)器學(xué)習(xí)的智能分析，綜合研判工控網(wǎng)絡(luò)安全趨勢及潛在安全風(fēng)險(xiǎn)。

圖2 工控網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)

工控安全態(tài)勢分析的數(shù)據(jù)主要來源于各個(gè)工業(yè)安全設(shè)備的日志信息、安全風(fēng)險(xiǎn)事件信息等，可以通過專用的數(shù)據(jù)采集探針采集，也可以通過具備一定分析功能的流量審計(jì)和日志審計(jì)設(shè)備采集上報(bào)。對于采集到的海量數(shù)據(jù)，疊加內(nèi)置的各類安全威脅知識庫、安全規(guī)則庫等，采用大數(shù)據(jù)存儲及分析技術(shù)，建立大數(shù)據(jù)分析引擎，采用各類數(shù)據(jù)分析算法、機(jī)器學(xué)習(xí)算法以及基于特征、行為和時(shí)序的異常檢測算法，按照時(shí)間、空間、業(yè)務(wù)行為等多個(gè)維度對數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并根據(jù)安全事件特征規(guī)則，識別安全風(fēng)險(xiǎn)事件、安全威脅以及異常網(wǎng)絡(luò)行為。

通過工控安全態(tài)勢分析結(jié)果，可以幫助系統(tǒng)管理人員及時(shí)識別潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)，及時(shí)優(yōu)化網(wǎng)絡(luò)安全策略和各種安全配置，提升網(wǎng)絡(luò)安全防范能力。

總結(jié)

綜上所述，對于由工控設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)流量、外部設(shè)備、人為操作等核心要素構(gòu)成工控網(wǎng)絡(luò)系統(tǒng)，應(yīng)用“零信任”原則，構(gòu)筑包括集中安全管理、用戶的認(rèn)證和授權(quán)管理、工控資產(chǎn)識別和接入控制、終端安全防護(hù)、工控網(wǎng)絡(luò)流量分析和控制、USB存儲設(shè)備接入控制、工控安全態(tài)勢分析等能力的安全防護(hù)體系，確保只有經(jīng)過認(rèn)證和授權(quán)的主體，才能對工控網(wǎng)絡(luò)資源進(jìn)行訪問，是保障工控網(wǎng)絡(luò)安全的重要基石，也是“零信任”原則在工控網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用。

參考文獻(xiàn)

[1] 算網(wǎng)融合產(chǎn)業(yè)及標(biāo)準(zhǔn)推進(jìn)委員會.零信任技術(shù)和產(chǎn)業(yè)發(fā)展(2022 年)[R/OL]. (2022-12-15)[2023-1-15]: http://www.ccnis.org.cn/Assets/filewhtiepaper/lingxinrjscyfz.pdf.

[2] 余海，郭慶,房利國.零信任體系技術(shù)研究[J].通信技術(shù)，2020,20(8):2027-2028.

[3] 李歡歡，徐小云，王紅蕾.基于零信任的網(wǎng)絡(luò)安全模型架構(gòu)與應(yīng)用研究.科技資訊,2021,19(17) : 8.

[4] 向人鵬.基于”零信任”的工業(yè)信息安全防護(hù)研究.2019 電力行業(yè)信息化年會論文集[C].無錫2019: 171-174.

[5] 石進(jìn).基于零信任機(jī)制的工控網(wǎng)絡(luò)安全防御技術(shù)研究[D/OL].北京: 華北電力大學(xué),2022 [2022-05-01].https;//cdmd.cnki.com.cn/Article/CDMD11412-1023003858.htm.

來源：珞安科技